Pular para o conteúdo principal

Politica de Segurança de e-mail - DMARC

André Alves
Atualizado

Esse artigo trás orientações sobre uma das principais politicas de segurança solicitada por servidores de e-mail para que  seja possível entendimento e cadastro para proporcionar uma maior efetividade na entrega dos e-mails aos destinatários.

Principais cenários atendidos: Baixa entrega de e-mails (Volume alto de e-mails retornando por politica de segurança)

Se o SPF é a lista de convidados e o DKIM é o selo de cera na carta, o DMARC é o segurança na porta da festa.

Ele é o protocolo que dá as ordens finais: ele diz ao servidor do destinatário exatamente o que fazer se o SPF ou o DKIM falharem.

O que é DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) é uma política de segurança que une o SPF e o DKIM. Sem o DMARC, um servidor pode notar que o SPF falhou, mas não sabe se deve entregar o e-mail no lixo eletrônico ou bloqueá-lo totalmente.

O DMARC resolve dois grandes problemas:

  1. Instrução: Define uma política clara (Rejeitar, Quarentena ou Nada).

  2. Relatório: Faz com que os servidores (como Gmail e Outlook) enviem relatórios para você, mostrando quem está tentando enviar e-mails em seu nome.

Como o DMARC funciona?

O DMARC utiliza o conceito de Alinhamento. Para um e-mail ser aprovado pelo DMARC, ele precisa que:

  • O SPF passe E o domínio no campo "De:" seja o mesmo do SPF.

  • OU o DKIM passe E o domínio da assinatura seja o mesmo do campo "De:".

Se ambos falharem ou não houver alinhamento, o servidor receptor consulta a sua Política DMARC no DNS para saber como agir.

As 3 Políticas do DMARC (p=)

Ao configurar o DMARC, você escolhe um destes três níveis de rigor:

  1. p=none (Apenas Monitoramento):  O que faz: Nada. O e-mail é entregue normalmente mesmo se falhar na autenticação.

    • Para que serve: Fase de testes. Você apenas recebe relatórios para ver quem está usando seu domínio antes de começar a bloquear.

  2. p=quarantine (Quarentena):  O que faz: Envia o e-mail diretamente para a pasta de Spam ou para a quarentena (fica restrito no servidor).

    • Para que serve: Um meio-termo seguro enquanto você ajusta suas configurações.

  3. p=reject (Rejeição Total):  O que faz: O servidor de destino bloqueia o e-mail. Ele nem chega à caixa do destinatário e retorna um erro ao remetente.

    • Para que serve: Segurança máxima. Impede 100% de ataques de spoofing.

Anatomia de um Registro DMARC

Assim como os outros, ele é um registro TXT no seu DNS. Exemplo:

Básico: v=DMARC1; p=quarantine; rua=mailto:relatorios@seudominio.com.br

  • Version - v=DMARC1: Versão do protocolo.

  • Policy - p=quarantine: A política escolhida (neste caso, mandar para o Spam).

  • Reporting URI for Aggregate - rua=mailto:fulano@imobiliaria.com.br: O endereço de e-mail onde você quer receber os Relatórios Agregados (dados estatísticos sobre quem está enviando e-mails em seu nome).

  • Subdomain Policy - sp=quarantine:Define uma política diferente para os subdomínios

  • Alignment Mode for DKIM - adkim: Define quão rígido deve ser o "casamento" entre o domínio da assinatura DKIM e o domínio do campo "De:"

    • Strict/Rigoroso s : O domínio precisa ser exatamente igual.

    • Relaxed/Relaxado - Padrão r: Aceita subdomínios (ex: assinatura de mail.exemplo.com para um e-mail enviado por exemplo.com).

  • Alignment Mode for SPF - aspf:  É a regra que diz ao servidor de destino o quão "perfeito" deve ser o casamento entre o domínio que aparece no e-mail e o domínio autorizado no SPF.

    • Strict/Rigoroso s : Se você tem um controle absoluto sobre todos os seus servidores e quer o nível máximo de segurança (comum em bancos ou órgãos governamentais), impedindo que até mesmo subdomínios internos enviem e-mails em nome do domínio principal sem autorização específica

    • Relaxed/Relaxado - Padrão r : (ou nem coloque a tag, já que é o padrão): Na maioria dos casos. Isso evita que e-mails legítimos de ferramentas de marketing ou sistemas de nota fiscal sejam bloqueados.

  • Percentage - pct: Aplica a política a apenas uma porcentagem dos e-mails que falham.

  • Forensic Reporting URI - ruf : Diferente do rua (que envia estatísticas), o ruf envia relatórios forenses (cópias individuais de cada e-mail que falhou).

    Aviso: Muitas empresas evitam esta tag devido a preocupações com privacidade (LGPD/GDPR), pois o relatório pode conter o conteúdo real da mensagem.

  • Failure Reporting Options - fo : Define quando gerar um relatório forense.

    • 0: Gera se SPF e DKIM falharem (Padrão).

    • 1: Gera se qualquer um falhar (SPF ou DKIM).

    • d: Gera se o DKIM falhar.

    • s: Gera se o SPF falhar.

Como configurar o DMARC (Passo a Passo)

1. Certifique-se de que SPF e DKIM estão prontos

Não ative o DMARC se o seu SPF e DKIM não estiverem configurados e funcionando perfeitamente, ou você corre o risco de bloquear seus próprios e-mails legítimos.

2. Crie o registro TXT no DNS

  1. Acesse seu provedor de DNS.

  2. Adicione um novo registro TXT.

  3. No campo "Host/Nome", digite: _dmarc (é obrigatório ter o underline).

  4. No campo "Valor", comece com o básico: v=DMARC1; p=none; rua=mailto:seuemail@dominio.com

    • Dica: Comece sempre com p=none por algumas semanas.

3. Analise os Relatórios

Você começará a receber arquivos XML por e-mail. Eles são difíceis de ler manualmente, então muitas empresas usam ferramentas (como Dmarcian ou Postmark) para transformar esses dados em gráficos legíveis.

4. Suba o nível da política

Assim que você confirmar que todos os seus serviços legítimos (Mailchimp, CRM, etc.) estão passando na autenticação, altere o registro de p=none para p=quarantine e, eventualmente, para p=reject.

Links Relacionados:

 

 

 

Artigos relacionados